Microsoft FrontPage 2000 Server Extensions リソース キット

Windows NT のセキュリティ

 ^2/9     IIS の認証方法

ユーザーが IIS のリソースにアクセスするには認証を受けなければなりません。IIS は、匿名認証、基本認証、Windows NT 暗号化認証、およびダイジェスト アクセス 認証をサポートしています。

匿名認証

匿名認証では、特殊な "匿名" アカウントを使って、ホスト コンピュータにアカウントを持っていないユーザーにアクセスする権限を与えます。World Wide Web や FTP などの各インターネット サービスでは、Windows NT アカウント (ユーザー名とパスワード) を使って匿名要求を処理します。インターネット インフォメーション サービスは、セットアップ中に Web サービスに IUSR_コンピュータ名 というアカウントを作成します。特に指定しない限り、すべての Web クライアント要求がこのアカウントを使います。クライアントが Web コンテンツを使用するときにはアクセス権が与えられます。匿名ログオン アクセスと認証アクセスを同時に有効にすることができます。

IIS が匿名要求を受け取ると、匿名ログオン アカウントを偽装します。要求されたリソースへのアクセス権がこの匿名アカウントにある場合は、要求は成功します。アカウントに権限があるかどうかは、リソースの ACL によって決まります。匿名アカウントに権限がない場合は、要求は失敗します。WWW サービスは、ユーザーに有効な Windows NT ユーザー名とパスワードを入力するように促すことによって、失敗した匿名要求に応答します。

基本認証

基本認証は、インターネットで使われている大多数の Web サーバーでサポートされている認証の方法です。サーバーが基本認証を使用するときは、Web ブラウザ (または FrontPage クライアント) がユーザー名とパスワードの入力をユーザーに促します。ユーザー名とパスワードは クリア テキストで HTTP を使って転送されます。このユーザー名とパスワードを使って、IIS は対応する Windows NT ユーザーを認証します。

基本認証では、ユーザーが常にローカル ログオンの権限でログオンしています。これは、コンピュータのコンソールでインタラクティブなセッションにログオンするのと似ています。基本認証を使用するには、IIS サーバーへの "ローカル ログオン" のユーザー権限を各ユーザーに許可します。基本認証でローカル ログオンを使用する場合、管理者は次の 2 つの問題に注意する必要があります。

• ユーザー アカウントにローカル ログオンの権限がないときは、基本認証は成功しません。FrontPage、IIS、および Windows NT の構成が正しくても、Windows NT のドメイン ユーザー マネージャでユーザーにローカル ログオンの権限がないと、基本認証でユーザーを認証できません。
• ローカル ログオンでは、IIS を実行中のホスト コンピュータにユーザーが物理的にアクセスできる場合、そのユーザーはコンソールでインタラクティブなセッションを開始できます。

基本認証のもう 1 つのセキュリティ上のリスクは、ユーザー名とパスワードが簡単にデコードできる形式でネットワーク上を送信されるということです。

Web サイトで、FrontPage version 1.1 クライアント (Windows NT 暗号化認証に未対応) による作成をサポートしている必要があるときや、すべての種類のブラウザから Web サイトにアクセスできるようにしたいときは、基本認証を有効にしておく必要があります。また、基本認証はプロキシ サーバーを使ったファイアウォールを通しても動作します。ユーザーがプロキシ サーバーを経由して Web サーバーに接続する場合は、Windows NT 暗号化認証ではなく、基本認証を使わなければなりません。

基本認証は、Windows NT 暗号化認証よりも高速です。基本認証を Secure Sockets Layer (SSL) と組み合わせて使えば、安全かつ高速な認証が実現します。

Windows NT 暗号化認証

Windows NT 暗号化認証 (NTLM) は基本認証よりも安全性の高い認証方式です。Windows NT 暗号化を使ってユーザーを認証すると、ユーザーはネットワーク ログオンとして Web サーバー コンピュータにログオンします。Web ブラウザや FrontPage クライアントは、まず、ユーザーがクライアント コンピュータにログオンするために入力したクレデンシャルの使用を試します。このクレデンシャルが拒否された場合、Windows NT 暗号化は、ダイアログ ボックスを表示してユーザーに名前とパスワードの入力を促します。ユーザーがローカル コンピュータにドメイン ユーザーとしてログオンしている場合は、そのドメインにあるリモート コンピュータにアクセスするときに再び認証を行う必要はありません。

ユーザー名およびパスワードは、クライアントと Web サーバー間の複数のトランザクション処理では安全に暗号化されます。この処理は、クライアントとサーバー間のネットワーク トラフィックを監視して、システムに侵入しようとするネットワーク スパイへの対策になります。

Windows NT 暗号化認証には、次の制限があります。

• Windows NT 暗号化認証は、プロキシ経由でファイアウォール越しに実行することはできません。このシナリオでは、ユーザーは基本認証を使わなければなりません。
• Web ブラウザによっては、Windows NT 暗号化認証をサポートしていないものもあります (Netscape Navigator など)。
• Windows NT 暗号化認証では、セカンダリ サーバーへの委任機能をサポートしていません。ユーザーのクレデンシャルは別のコンピュータには渡されません。たとえば、要求が IIS に入信すると、ユーザー アカウントのクレデンシャルは、セカンダリ コンピュータにある Microsoft SQL Server に渡されません。

Windows NT 暗号化認証はファイアウォール越しには実行できませんが、ファイアウォールの内部でのみ通信が発生するイントラネットでは十分に利用できます。

基本認証と Windows NT 暗号化認証の両方を有効にすることもできます。Web ブラウザが Windows NT 暗号化認証をサポートしているときは、その認証方法が使用されます。Windows NT暗号化認証をサポートしていないときは、基本認証が使用されます。Windows NT 暗号化認証は現在、Microsoft Internet Explorer 2.0 以降でのみサポートされています。

ダイジェスト アクセス認証

ダイジェスト アクセス認証は、基本認証と同じように単純な暗号化方式を採用しています。ダイジェスト方式では、当座の値 (401  エラーが発生するたびに一意に作成されるサーバー指定のデータ文字列) を使って認証を行います。有効な応答には、ユーザー名、パスワード、任意の当座値、HTTP  方式、および要求された URL のチェックサムが含まれます。この方法では、簡単にデコードできるテキストとしてパスワードが送信されることはありません。この点は、基本認証方式の最大の欠点になっています。

ダイジェスト アクセス認証を使用するには、クライアント コンピュータに Internet Explorer 5.0 が必要です。